RGPD E-Commerce France 2026 | CNIL

Q: Quelles sont les sanctions RGPD pour un e-commerçant français en 2026 ?

Le RGPD prévoit deux paliers : jusqu'à 10 M€ ou 2 % du chiffre d'affaires mondial annuel pour les manquements de premier niveau (registre, sécurité, sous-traitance), et jusqu'à 20 M€ ou 4 % du chiffre d'affaires mondial pour les violations les plus graves (consentement, droits des personnes, transferts hors UE). La CNIL applique le montant le plus élevé entre la somme fixe et le pourcentage. En 2024-2026, la CNIL a prononcé plus de 87 sanctions publiques avec des amendes cumulées dépassant 90 M€.

Q: Le consentement cookies est-il obligatoire en France ?

Oui. Depuis les lignes directrices CNIL de 2020 et la délibération du 17 septembre 2020, tout dépôt de cookies non strictement nécessaires (publicité, analytics tiers, réseaux sociaux) exige un consentement libre, spécifique, éclairé et univoque. Le bouton 'Refuser tout' doit être aussi visible que 'Accepter tout', le scroll ne vaut pas consentement, et la preuve doit être conservée pendant au moins 6 mois. Les amendes CNIL pour bandeaux non conformes vont de 100 000 € pour les PME à 150 M€ pour Google et 60 M€ pour Facebook en 2021.

Q: Faut-il nommer un DPO (Délégué à la Protection des Données) pour un e-commerce ?

La désignation est obligatoire dans trois cas : autorité ou organisme public, traitement à grande échelle de données sensibles, ou suivi régulier et systématique des personnes à grande échelle. Pour la plupart des e-commerçants français de taille moyenne (moins de 250 000 commandes par an, pas de profilage publicitaire massif), le DPO n'est pas légalement obligatoire mais reste vivement recommandé. La CNIL accepte le DPO externe mutualisé, particulièrement adapté aux PME.

Q: Qu'est-ce que le registre des traitements et comment le tenir ?

Le registre des activités de traitement (article 30 RGPD) est obligatoire pour toute entreprise de plus de 250 salariés et pour celles dont les traitements ne sont pas occasionnels ou portent sur des données sensibles. En pratique, tout e-commerçant français doit le tenir. Il liste chaque finalité (gestion des commandes, marketing, fidélité, recrutement), les catégories de données, les destinataires, les durées de conservation et les mesures de sécurité. La CNIL fournit un modèle gratuit en format Excel téléchargeable sur cnil.fr.

Q: Combien de temps conserver les données clients d'un e-commerce ?

Les durées CNIL de référence : compte client actif pendant la relation contractuelle, puis archivage intermédiaire 3 ans après dernière commande ou dernier contact ; données de facturation 10 ans (obligation comptable Code de commerce) ; prospects sans achat 3 ans après dernier contact ; données bancaires (CB) supprimées immédiatement après transaction sauf consentement explicite pour les paiements récurrents ; cookies 13 mois maximum. Le dépassement de ces durées sans justification expose à une sanction CNIL.

Q: Quelles mentions légales et politique de confidentialité afficher ?

Quatre documents sont obligatoires sur un e-commerce français : mentions légales (LCEN 2004), conditions générales de vente (CGV obligatoires depuis 1996), politique de confidentialité conforme aux articles 13 et 14 du RGPD, et politique cookies détaillant les finalités. La politique de confidentialité doit lister : identité du responsable, finalités, base légale, destinataires, durées, droits, coordonnées du DPO le cas échéant, droit de réclamation auprès de la CNIL. L'absence ou l'imprécision constituent un manquement sanctionné.

Q: Comment gérer une violation de données (data breach) en 72 heures ?

L'article 33 RGPD impose la notification à la CNIL dans les 72 heures de la prise de connaissance, sauf si la violation n'est pas susceptible d'engendrer un risque pour les personnes. Le formulaire de notification se trouve sur cnil.fr/notifier-une-violation. Si le risque est élevé, l'article 34 impose en plus une information directe aux personnes concernées. La CNIL a reçu plus de 5 600 notifications en 2024, dont 60 % liées à des piratages. Tenir un registre interne des violations même non notifiées est obligatoire.

Q: Les sous-traitants (hébergeur, transporteur, marketing) doivent-ils signer un contrat RGPD ?

Oui, c'est l'article 28 du RGPD. Tout prestataire qui traite des données pour le compte de l'e-commerçant (AWS, OVHcloud, Mailchimp, Chronopost, Klaviyo, Shopify, Stripe) doit signer un Data Processing Agreement (DPA) précisant la nature, la durée, les finalités, les types de données, les mesures de sécurité, les sous-traitants ultérieurs et les modalités de restitution ou suppression en fin de contrat. L'absence de DPA est un manquement direct et fréquemment sanctionné lors des contrôles CNIL.

Q: Puis-je transférer des données vers les États-Unis ou la Turquie ?

Vers les États-Unis : oui depuis juillet 2023 grâce au Data Privacy Framework (DPF) si le destinataire est certifié sur dataprivacyframework.gov. Vérifiez la certification active. Vers la Turquie et les pays non adéquats : transfert possible uniquement avec garanties appropriées — clauses contractuelles types (CCT) de la Commission européenne version 2021, règles d'entreprise contraignantes (BCR), ou dérogations exceptionnelles. Une analyse d'impact des transferts (TIA) est désormais attendue après l'arrêt Schrems II.

Q: Quels sont les droits des personnes (clients) à respecter ?

Sept droits issus du RGPD : accès (article 15), rectification (16), effacement / droit à l'oubli (17), limitation (18), portabilité (20), opposition (21) et droit de ne pas faire l'objet d'une décision automatisée (22). L'e-commerçant doit répondre dans un délai d'un mois (prolongeable de deux mois pour les demandes complexes), gratuitement sauf abus manifeste, après vérification raisonnable de l'identité. Une procédure interne documentée et un canal dédié (email DPO ou formulaire) sont attendus par la CNIL.

20 M€

Amende maximale RGPD (ou 4 % CA)

5 600+

Violations notifiées à la CNIL en 2024

72 h

Délai de notification d'une violation

87 %

E-commerçants FR audités non conformes

RGPD E-Commerce France 2026 — Synthèse Rapide

Le Règlement Général sur la Protection des Données (RGPD) s'applique depuis le 25 mai 2018, complété en France par la loi Informatique et Libertés modifiée et les lignes directrices de la CNIL. Pour un site e-commerce français en 2026, la conformité repose sur dix piliers indissociables : licéité du traitement (article 6), information transparente (articles 13-14), consentement cookies conforme aux lignes directrices CNIL de septembre 2020, registre des activités de traitement (article 30), contrats de sous-traitance (article 28), sécurité (article 32), notification de violation (articles 33-34), droits des personnes (articles 15-22), encadrement des transferts hors UE (chapitre V) et, le cas échéant, analyse d'impact (article 35). Sanctions : jusqu'à 20 M€ ou 4 % du chiffre d'affaires mondial.

Le Paysage RGPD Français 2026 en un Coup d'Œil

Avant d'entrer dans le détail des obligations, voici les six grands chantiers que tout e-commerçant français doit maîtriser. Gardez cette synthèse à portée de main pendant votre lecture.

CNIL — L'Autorité de Contrôle Française

Créée en 1978 (loi Informatique et Libertés) · Régulateur indépendant · Pouvoir de sanction jusqu'à 20 M€ ou 4 % du CA mondial

87+ sanctions/an90 M€+ amendes 2024-2026

RGPD — Règlement (UE) 2016/679

En vigueur depuis le 25 mai 2018 · 99 articles · Applicable directement dans les 27 États membres

4,5 Md€sanctions cumulées UE depuis 2018

Consentement Cookies — Lignes Directrices CNIL

Délibérations n° 2020-091 et 2020-092 du 17/09/2020 · Bouton « Refuser tout » obligatoire · Preuve 6 mois

250 M€+amendes cookies prononcées

DPO — Délégué à la Protection des Données

Articles 37 à 39 RGPD · Obligatoire pour traitements à grande échelle · Possibilité de DPO externe mutualisé

34 000+DPO désignés en France

Violation de Données — Notification 72 h

Articles 33-34 RGPD · Notification CNIL via cnil.fr · Information des personnes si risque élevé

5 600+violations notifiées en 2024

Droits des Personnes — 7 Droits Opposables

Accès, rectification, effacement, limitation, portabilité, opposition, décision automatisée · Délai 1 mois

14 137plaintes CNIL reçues en 2024

Prêt à sécuriser votre conformité RGPD ?

Centralisez votre registre des traitements, votre CMP, vos DPA et vos demandes de droits dans un seul panneau Zunapro. Hébergement français certifié ISO 27001, prêt pour un contrôle CNIL.

🛡️ Démarrer la mise en conformité

1. Le Cadre Juridique RGPD Applicable à l'E-Commerce Français

Le RGPD et la loi Informatique et Libertés modernisée

Le Règlement (UE) 2016/679, dit RGPD, est entré en application le 25 mai 2018. Contrairement à une directive, il est directement applicable dans les 27 États membres de l'Union européenne sans transposition nationale. En France, il s'articule avec la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, dite « loi Informatique et Libertés », modifiée par la loi du 20 juin 2018 puis par l'ordonnance du 12 décembre 2018 pour assurer la cohérence avec le RGPD.

Pour un e-commerçant français, le RGPD s'applique dès qu'il traite des données à caractère personnel (nom, email, adresse, numéro de téléphone, adresse IP, identifiants de connexion, données de paiement, historique d'achat, données de navigation) dans le cadre de son activité. Le seuil d'application est nul : un site marchand avec dix clients par mois est tout autant concerné qu'un acteur du CAC 40.

Le champ d'application territorial

L'article 3 du RGPD étend son champ aux entreprises établies dans l'UE (critère de l'établissement) et aux entreprises hors UE qui ciblent des résidents européens (critère du ciblage). Concrètement, un e-commerçant turc, britannique ou américain qui propose une livraison en France, accepte des paiements en euros ou rédige son site en français doit appliquer le RGPD à ses traitements concernant des résidents français — et désigner un représentant dans l'UE au sens de l'article 27.

Les acteurs : responsable de traitement, sous-traitant, co-responsabilité

Trois rôles structurent l'application du RGPD :

Responsable de traitement — celui qui détermine les finalités et les moyens du traitement. Dans 99 % des cas, c'est l'e-commerçant lui-même.
Sous-traitant — celui qui traite les données pour le compte du responsable. Hébergeur, prestataire emailing, transporteur, passerelle de paiement, outil de support client.
Responsabilité conjointe — situation où deux ou plusieurs entités déterminent ensemble les finalités et moyens. Cas typique : marketplace + vendeur tiers.

Pour chaque traitement, l'e-commerçant doit savoir précisément à quel titre il intervient. Une erreur de qualification entraîne souvent une cascade de non-conformités (absence de DPA, mauvaise information des personnes, mauvaise base légale).

📘 Téléchargez notre cartographie RGPD pour e-commerçants

Modèle de cartographie des rôles (responsable / sous-traitant / co-responsable) prêt à compléter pour un site Shopify, WooCommerce, PrestaShop ou Magento.

Télécharger la cartographie →

2. Les Six Bases Légales du Traitement (Article 6 RGPD)

Identifier la bonne base légale pour chaque finalité

L'article 6 du RGPD énumère six bases légales permettant de licéiter un traitement. Aucune n'est intrinsèquement supérieure à une autre, mais chacune impose des contraintes différentes (consentement révocable, intérêt légitime à mettre en balance, contrat à formaliser…). Vous devez identifier la base applicable à chaque finalité de votre site marchand et la documenter dans votre registre.

Les six bases applicables à l'e-commerce

Consentement (a) — libre, spécifique, éclairé, univoque, révocable. Utilisé pour la newsletter, les cookies non essentiels, le profilage publicitaire, le partage à des partenaires.
Exécution du contrat (b) — base de loin la plus utilisée en e-commerce : gestion de la commande, expédition, facturation, service après-vente. Pas de consentement requis car le traitement est nécessaire à l'exécution du contrat de vente.
Obligation légale (c) — conservation des factures 10 ans (Code de commerce), lutte anti-blanchiment, conservation des données fiscales, déclarations DGFiP.
Sauvegarde des intérêts vitaux (d) — quasiment jamais applicable en e-commerce.
Mission d'intérêt public (e) — non applicable au privé.
Intérêt légitime (f) — base flexible mais qui exige une mise en balance documentée : prévention de la fraude, sécurisation du site, prospection B2B, certaines analyses statistiques anonymisées.

⚠️

Erreur fréquente : demander un consentement « global » à la création de compte pour couvrir à la fois la commande (contrat) et la newsletter (consentement). La CNIL considère cette pratique non conforme. Le consentement marketing doit être distinct, optionnel et désactivé par défaut. Voir notre module CMP →

Le cas particulier de la prospection commerciale

La prospection par voie électronique est encadrée par l'article L. 34-5 du Code des postes et des communications électroniques :

B2C — consentement préalable obligatoire (opt-in), sauf « soft opt-in » pour produit analogue d'un client existant.
B2B — intérêt légitime accepté si message professionnel lié à la fonction et opt-out facile à chaque envoi.

3. Information des Personnes : Politique de Confidentialité Conforme

Les articles 13 et 14 du RGPD

L'article 13 impose une information lorsque les données sont collectées directement auprès de la personne (formulaire d'inscription, panier, demande de devis). L'article 14 s'applique lorsque les données sont collectées indirectement (achat d'un fichier de prospects, enrichissement via un courtier en données). Dans les deux cas, l'information doit être :

Concise, transparente, compréhensible et aisément accessible
Rédigée en termes clairs et simples, particulièrement si le destinataire peut être un mineur
Fournie par écrit ou par tout autre moyen, y compris électronique (lien direct depuis le formulaire ou le pied de page)
Gratuite

Le contenu obligatoire de la politique de confidentialité

Onze mentions doivent figurer dans la politique de confidentialité d'un e-commerce français :

Identité et coordonnées du responsable de traitement (raison sociale, SIREN, adresse, email)
Coordonnées du DPO si désigné
Finalités de chaque traitement et leur base légale
Description de l'intérêt légitime si pertinent
Destinataires et transferts éventuels hors UE (CCT, DPF, BCR)
Durée de conservation par catégorie ou critères de détermination
Liste des droits des personnes et modalités d'exercice
Droit de retirer le consentement et réclamation CNIL
Existence d'une décision automatisée ou profilage et logique sous-jacente

📋

Modèle CNIL : la CNIL publie un guide de rédaction et un modèle d'information conforme, disponible sur cnil.fr — Comment rédiger les mentions d'information. Zunapro fournit également un générateur de politique de confidentialité paramétrable selon votre stack (CMS, ESP, CRM, analytics).

4. Consentement Cookies : Les Lignes Directrices CNIL 2020 et leur Application en 2026

Le cadre : article 82 LIL + lignes directrices CNIL

Le consentement cookies en France est régi par l'article 82 de la loi Informatique et Libertés (transposition de la directive ePrivacy) et précisé par les lignes directrices CNIL du 17 septembre 2020 (délibérations n° 2020-091 et 2020-092). Depuis le 31 mars 2021, les contrôles et sanctions sont actifs.

Cookies soumis au consentement vs cookies exemptés

Cookies exemptés — panier, authentification de session, personnalisation interface, mesure d'audience strictement nécessaire (Matomo en mode CNIL).
Cookies soumis au consentement — Google Analytics 4 standard, Meta Pixel, TikTok Pixel, cookies publicitaires, retargeting, réseaux sociaux.

Les sept exigences CNIL pour un bandeau conforme

Information claire avant tout dépôt sur la finalité de chaque cookie
Possibilité d'accepter tout en un clic
Possibilité de refuser tout en un clic, aussi visible et accessible que l'acceptation (même format, même couleur de contraste)
Possibilité de personnaliser ses choix par finalité
Pas de cookies non essentiels déposés avant le consentement
Le scroll, la navigation ou la fermeture du bandeau ne valent pas consentement
Preuve du consentement horodatée conservée au moins 6 mois (recommandé 13 mois pour s'aligner sur la durée maximale des cookies)

🍪

Amendes cookies emblématiques : 150 M€ contre Google (LLC et Ireland) le 31 décembre 2021 ; 60 M€ contre Facebook Ireland même date ; 40 M€ contre Microsoft Ireland en décembre 2022 ; 5 M€ contre Voodoo en décembre 2022. La CNIL ne plaisante plus avec les bandeaux non conformes. Voir notre CMP intégrée →

Une CMP affiche le bandeau, capture les choix, journalise la preuve et bloque dynamiquement les tags non consentis. Les CMP les plus utilisées en 2026 : Axeptio, Didomi, Sirdata, OneTrust et Cookiebot. Le standard sous-jacent est le TCF 2.2 de l'IAB Europe.

Durée maximale des cookies en France

La CNIL recommande 13 mois maximum pour les cookies soumis au consentement et 25 mois pour les informations collectées. Au-delà, l'utilisateur doit reconsentir explicitement.

PME locale

100 K€ – 500 K€

Bandeau cookies non conforme · absence de bouton « Refuser tout » · dépôt avant consentement

ETI nationale

500 K€ – 5 M€

Manquements répétés · prospection sans opt-in · durées de conservation excessives

Grand groupe

5 M€ – 150 M€

Manquements systémiques · violation des droits · transferts illicites hors UE

🍪 Activez la CMP Zunapro en 10 minutes

Bandeau cookies CNIL-conforme, journal de preuve 13 mois, blocage dynamique des tags, intégration TCF 2.2, multilingue (FR, EN, DE, ES, IT). Compatible Shopify, WooCommerce, PrestaShop.

Activer la CMP →

5. Registre des Activités de Traitement (Article 30 RGPD)

L'obligation centrale de la conformité documentaire

L'article 30 du RGPD impose la tenue d'un registre des activités de traitement. C'est la première chose qu'un agent de la CNIL demande lors d'un contrôle. L'obligation s'applique en pratique à tout e-commerçant : si l'article 30 prévoit une dispense pour les entreprises de moins de 250 salariés dont les traitements ne sont ni récurrents ni sensibles, la collecte continue de données clients sort de cette dispense.

Les huit mentions obligatoires par traitement

Nom et coordonnées du responsable de traitement (et du représentant, du DPO, du responsable conjoint le cas échéant)
Finalités du traitement (ex. gestion des commandes, fidélité, newsletter, prévention de la fraude)
Catégories de personnes concernées (clients, prospects, salariés, fournisseurs) et de catégories de données
Catégories de destinataires (sous-traitants identifiés, partenaires, autorités)
Transferts vers un pays tiers et garanties associées
Durées de conservation prévues pour chaque catégorie
Mesures de sécurité techniques et organisationnelles (chiffrement, contrôle d'accès, sauvegardes, journalisation)
Le cas échéant, existence d'un transfert et garanties

Modèle CNIL et automatisation

La CNIL met à disposition un modèle Excel téléchargeable gratuitement. Sa tenue manuelle vieillit vite : chaque ajout d'outil doit être reporté. Zunapro fournit un registre dynamique pré-rempli pour les 28 traitements typiques d'un e-commerce français ; chaque connexion d'outil ajoute automatiquement l'entrée correspondante.

Registre des sous-traitants (article 30.2)

Le sous-traitant doit également tenir un registre distinct listant les traitements effectués pour chaque client. Pour un e-commerçant agissant aussi comme sous-traitant (dropshipper, marketplace), cette obligation s'ajoute.

6. Sous-Traitants et DPA : L'Article 28 en Pratique

Les sous-traitants typiques d'un e-commerce français

Un site marchand français compte facilement 10 à 20 sous-traitants au sens du RGPD. Chacun doit être encadré par un contrat conforme à l'article 28, communément appelé DPA (Data Processing Agreement).

Hébergement — OVHcloud, Scaleway, AWS, Google Cloud, Azure
CMS / SaaS — Shopify, WooCommerce, PrestaShop, BigCommerce
Paiement — Stripe, PayPal, Mollie, Adyen, Lyra, PayPlug
Expédition — Chronopost, Colissimo, Mondial Relay, DHL, Boxtal
Emailing — Mailjet, Brevo, Mailchimp, Klaviyo, ActiveCampaign
Service client / Analytics / CRM — Zendesk, Intercom, GA4, HubSpot, Salesforce
Avis / Compta — Trustpilot, Avis Vérifiés, Pennylane, Sellsy

Les neuf clauses obligatoires d'un DPA

L'article 28.3 énumère ce que le contrat de sous-traitance doit prévoir :

Objet, durée, nature et finalité du traitement
Type de données personnelles et catégories de personnes concernées
Obligations et droits du responsable
Engagement de ne traiter les données que sur instructions documentées
Engagement de confidentialité des personnes habilitées
Mise en œuvre des mesures de sécurité (article 32)
Encadrement des sous-traitants ultérieurs (autorisation préalable, transmission des mêmes obligations)
Assistance au responsable pour les demandes de droits, l'AIPD, les notifications
Restitution ou suppression des données à la fin de la prestation, au choix du responsable

📑

Bonne pratique 2026 : exigez systématiquement la signature d'un DPA avant la première transmission de données. La plupart des grands prestataires (Shopify, Stripe, Mailjet, OVHcloud) publient un DPA standard prêt à signer en ligne. Pour les petits prestataires français, utilisez le modèle CNIL ou le modèle Zunapro. Voir notre bibliothèque de DPA →

7. Transferts Internationaux Post-Schrems II : États-Unis, Turquie, Reste du Monde

Le cadre : chapitre V du RGPD

Le chapitre V du RGPD (articles 44 à 50) encadre les transferts de données hors de l'Espace économique européen. Le principe : un transfert vers un pays tiers est interdit, sauf à respecter l'un des mécanismes suivants :

Décision d'adéquation de la Commission européenne (article 45) — le pays offre un niveau de protection équivalent à celui de l'UE
Garanties appropriées (article 46) — clauses contractuelles types (CCT), règles d'entreprise contraignantes (BCR), codes de conduite, certifications
Dérogations (article 49) — consentement explicite, exécution du contrat, motifs importants d'intérêt public, etc.

Pays à décision d'adéquation 2026

À jour 2026 : Andorre, Argentine, Canada, Îles Féroé, Guernesey, Île de Man, Israël, Japon, Jersey, Nouvelle-Zélande, Corée du Sud, Royaume-Uni, Suisse, Uruguay et États-Unis (via Data Privacy Framework depuis juillet 2023). Vers ces pays, le transfert se fait sans formalité supplémentaire.

Le cas des États-Unis post-Schrems II

L'arrêt Schrems II de la CJUE (16 juillet 2020) a invalidé le Privacy Shield. Depuis le 10 juillet 2023, la Commission a adopté une décision d'adéquation fondée sur le Data Privacy Framework (DPF). Vérifiez la certification du destinataire sur dataprivacyframework.gov. Hors DPF, les CCT 2021 + TIA restent nécessaires.

Le cas de la Turquie et des pays non adéquats

Vers la Turquie, l'Inde, les Émirats arabes unis, la Chine, la Russie et tout pays sans décision d'adéquation, vous devez :

Signer les clauses contractuelles types 2021 de la Commission (module approprié selon que le destinataire est responsable ou sous-traitant)
Réaliser une analyse d'impact des transferts (Transfer Impact Assessment) évaluant le droit local d'accès des autorités publiques
Mettre en œuvre des mesures supplémentaires si nécessaire (chiffrement de bout en bout, pseudonymisation, ségrégation des données)
Documenter l'ensemble dans votre registre

Hébergement français et souveraineté numérique

Pour minimiser le risque, beaucoup d'e-commerçants français choisissent un hébergement en France ou en UE auprès d'acteurs comme OVHcloud (Roubaix, Strasbourg, Gravelines), Scaleway (Paris), Outscale, ou Clever Cloud (Nantes). Les certifications SecNumCloud de l'ANSSI et HDS (Hébergeur de Données de Santé) sont à privilégier pour les e-commerçants santé / bien-être / pharma.

8. Les Sept Droits des Personnes : Procédure Interne et Délai d'Un Mois

Liste exhaustive des droits opposables

Le chapitre III du RGPD ouvre sept droits opposables à toute personne dont les données sont traitées :

Droit d'accès (article 15) — obtenir confirmation que des données sont traitées, copie de ces données, et toutes les informations associées
Droit de rectification (16) — corriger les données inexactes, compléter les données incomplètes
Droit à l'effacement / droit à l'oubli (17) — suppression dans six hypothèses, dont l'absence de finalité ou le retrait du consentement
Droit à la limitation du traitement (18) — gel temporaire du traitement en cas de contestation
Droit à la portabilité (20) — récupérer ses données dans un format structuré, couramment utilisé et lisible par machine
Droit d'opposition (21) — s'opposer au traitement, notamment à la prospection commerciale et au profilage
Droit de ne pas faire l'objet d'une décision automatisée (22) — refuser une décision produisant des effets juridiques fondée exclusivement sur un traitement automatisé

Procédure interne attendue par la CNIL

Canal d'entrée identifié — email DPO ou formulaire dédié
Accusé de réception sous 5 jours ouvrés
Vérification raisonnable de l'identité (sans excès)
Réponse motivée sous un mois, prolongeable de deux mois pour les demandes complexes
Réponse gratuite, sauf demande manifestement infondée
Journalisation de chaque demande pour démonstration au contrôle CNIL

⏱️

Statistiques 2024 : la CNIL a reçu 14 137 plaintes en 2024, dont près de 40 % émanaient de personnes ayant essuyé un refus, un silence ou un délai dépassé sur une demande de droit. C'est de loin le premier motif de plainte. Voir notre workflow droits des personnes →

9. Sécurité, Violation de Données et Notification 72 h

L'obligation de sécurité (article 32)

L'article 32 du RGPD impose au responsable et au sous-traitant de mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir la sécurité des données, en tenant compte de l'état de l'art, des coûts, de la nature et des risques. La CNIL en a précisé la lecture dans son Guide de la sécurité des données personnelles (mise à jour 2024).

Les mesures de base attendues

Authentification forte — MDP 12 caractères minimum, MFA obligatoire pour les admins
Gestion des habilitations — moindre privilège, revue trimestrielle
Chiffrement AES-256 au repos, TLS 1.2+ en transit ; journalisation 6 mois
Sauvegardes chiffrées, testées, hors site ; anti-virus / EDR sur postes et serveurs
Mises à jour sécurité sous 30 jours ; développements selon OWASP Top 10
Tests d'intrusion annuels et sensibilisation phishing annuelle
Plan de continuité et procédure de gestion d'incidents documentée

Définition d'une violation de données

Une violation de données est définie à l'article 4.12 du RGPD comme « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données ». Les cas typiques en e-commerce : piratage de la base clients, fuite par e-mail, vol d'un ordinateur portable, ransomware, erreur d'envoi en copie (cc au lieu de cci), mauvaise configuration d'un bucket S3.

La notification 72 heures

L'article 33 impose la notification à la CNIL dans les 72 heures à compter de la prise de connaissance, sauf si la violation n'est pas susceptible d'engendrer un risque pour les droits et libertés. La notification se fait sur cnil.fr/notifier-une-violation. Elle décrit :

La nature de la violation, les catégories et le nombre approximatif de personnes et d'enregistrements concernés
Les coordonnées du DPO ou du point de contact
Les conséquences probables
Les mesures prises ou proposées pour y remédier

Si la violation présente un risque élevé, l'article 34 impose en outre une information directe des personnes concernées dans un langage clair (email personnalisé, courrier, communication publique si individuel impossible).

🚨 Plan de réponse aux violations en 72 h

Zunapro fournit un modèle de plan de réponse, un canal de signalement interne, un brouillon de notification CNIL pré-rempli et un journal interne des violations (article 33.5).

Activer le plan de réponse →

10. Sanctions CNIL, Contrôles et Récidive : Le Coût Réel de la Non-Conformité

Le barème de l'article 83 RGPD

Le RGPD prévoit deux paliers de sanctions administratives, indépendamment des sanctions pénales prévues par la loi Informatique et Libertés (cinq ans d'emprisonnement et 300 000 € d'amende pour la collecte illicite, articles 226-16 et suivants du Code pénal).

Palier	Manquements visés	Plafond	Référence
1er palier	Obligations du responsable et du sous-traitant (consentement parental, sous-traitance, registre, sécurité, AIPD, certification)	10 M€ ou 2 % du CA mondial, le plus élevé	Article 83.4
2e palier	Principes de base (licéité, consentement, droits des personnes, transferts hors UE)	20 M€ ou 4 % du CA mondial, le plus élevé	Article 83.5
3e voie	Non-respect d'une injonction de la CNIL	20 M€ ou 4 % du CA mondial	Article 83.6
Sanctions pénales	Traitement illicite, collecte trompeuse	5 ans + 300 000 € (personnes physiques)	Art. 226-16 Code pénal

L'activité de contrôle de la CNIL en 2024-2026

En 2024, la CNIL a réalisé 340 contrôles (en ligne, sur place, sur audition, sur pièces) et prononcé 87 sanctions publiques (54 amendes, 27 injonctions de mise en conformité, 6 rappels à l'ordre publics), pour un montant cumulé d'amendes dépassant 90 M€. Les thématiques prioritaires 2026-2026 annoncées par la CNIL incluent : applications mobiles, cybersécurité, données des mineurs, intelligence artificielle, transferts hors UE.

Critères d'individualisation de la sanction

L'article 83.2 RGPD liste onze critères que la CNIL prend en compte pour fixer le montant : nature, gravité et durée de la violation ; caractère délibéré ou négligent ; mesures prises pour atténuer le dommage ; degré de responsabilité ; antécédents ; coopération avec la CNIL ; catégories de données concernées ; manière dont l'autorité a appris la violation ; respect d'éventuelles mesures déjà ordonnées ; application de codes de conduite ; circonstances aggravantes ou atténuantes.

⚖️

La coopération paie : dans la plupart des sanctions 2024-2026, la CNIL a explicitement mentionné la coopération de l'entreprise (ou son absence) comme facteur déterminant. Un dossier de conformité tenu à jour, un DPO joignable et un registre exploitable peuvent réduire significativement le montant final. Préparer son dossier de conformité →

Tableau Comparatif : Obligations RGPD selon la Taille de l'E-Commerce

La conformité RGPD est graduée selon la taille et la nature de l'activité. Le tableau ci-dessous résume les obligations applicables à trois profils types d'e-commerçants français en 2026.

Obligation	TPE (< 10 salariés)	PME (10-250 salariés)	ETI / Grand groupe
Registre des traitements	Recommandé (obligatoire dès traitement régulier)	Obligatoire	Obligatoire détaillé
DPO désigné	Facultatif (sauf données sensibles)	Recommandé (DPO externe possible)	Obligatoire si profilage à grande échelle
Politique de confidentialité	Obligatoire	Obligatoire	Obligatoire multilingue
CMP cookies conforme	Obligatoire	Obligatoire	Obligatoire + TCF 2.2
DPA sous-traitants	Obligatoire	Obligatoire	Obligatoire avec audit annuel
AIPD	Cas particuliers	Selon traitements	Quasi systématique
Procédure droits des personnes	Obligatoire	Obligatoire documentée	Outil dédié + SLA
Plan de réponse aux violations	Recommandé	Obligatoire	Obligatoire + tests semestriels

Lecture du tableau : les obligations ne sont pas « tout ou rien ». Une TPE est tout autant responsable au regard du RGPD qu'une multinationale, mais l'effort attendu de mise en conformité est proportionné aux risques et aux moyens. La CNIL a publié un guide PME spécifique et un guide TPE qui détaillent les exigences minimales pour chaque profil.

Comment se Mettre en Conformité — Feuille de Route 2026

1. Cartographier ses traitements (semaine 1-2)

Listez toutes les activités impliquant des données : inscription, commande, livraison, SAV, fidélité, newsletter, recrutement, analytics, retargeting. Pour chacune, identifiez finalité, données, outils, sous-traitants, durées et base légale.

2. Auditer son bandeau cookies et sa politique (semaine 3)

Test pratique : ouvrez votre site en navigation privée. Le bandeau s'affiche-t-il avant tout dépôt ? Le bouton « Refuser tout » est-il aussi visible qu'« Accepter tout » ? Aucun cookie publicitaire n'est-il déposé avant clic ? Si non, votre bandeau n'est pas conforme.

3. Signer les DPA des sous-traitants (semaine 4-5)

Listez vos 10-20 sous-traitants. Pour chacun : DPA signé ? CCT 2021 si transfert hors UE ? Liste des sous-traitants ultérieurs ? Centralisez dans un dossier partagé pour accès rapide en cas de contrôle.

4. Procédure droits des personnes (semaine 5-6)

Créez [email protected], publiez l'adresse, formez le service client, instaurez une trame de réponse pour les 7 droits, journalisez chaque demande.

5. Plan de réponse aux violations (semaine 7)

Identifiez l'équipe de crise (DPO, IT, juridique, communication, direction). Préparez le brouillon de notification CNIL. Documentez tout dans un registre interne des violations.

6. Intégrer la conformité dans Zunapro (semaine 8)

Connectez-vous à Zunapro et ouvrez le module RGPD France
Importez votre cartographie dans le registre dynamique
Activez la CMP intégrée et configurez les finalités
Téléchargez les DPA de nos sous-traitants ultérieurs
Paramétrez le workflow droits et le formulaire public
Lancez l'audit automatique : score de conformité immédiat, plan d'action priorisé

Centralisez votre conformité RGPD dans un seul panneau

Registre des traitements + CMP cookies + DPA bibliothèque + droits des personnes + plan de réponse aux violations. Hébergement français certifié ISO 27001, prêt pour un contrôle CNIL en 24 heures.

Démarrer ma conformité RGPD →

FAQ RGPD E-Commerce France 2026

Quelles sont les sanctions RGPD pour un e-commerçant français en 2026 ?

Le RGPD prévoit deux paliers : jusqu'à 10 M€ ou 2 % du chiffre d'affaires mondial annuel pour les manquements de premier niveau (registre, sécurité, sous-traitance, AIPD), et jusqu'à 20 M€ ou 4 % du chiffre d'affaires mondial pour les violations les plus graves (consentement, droits des personnes, transferts hors UE). La CNIL applique le montant le plus élevé entre la somme fixe et le pourcentage.

En 2024-2026, la CNIL a prononcé plus de 87 sanctions publiques avec des amendes cumulées dépassant 90 M€. S'ajoutent les sanctions pénales prévues par les articles 226-16 et suivants du Code pénal : jusqu'à 5 ans d'emprisonnement et 300 000 € d'amende pour les personnes physiques (1,5 M€ pour les personnes morales).

Le consentement cookies est-il vraiment obligatoire en France ?

Oui. Depuis les lignes directrices CNIL de septembre 2020 (délibérations n° 2020-091 et 2020-092) et la fin de la période transitoire le 31 mars 2021, tout dépôt de cookies non strictement nécessaires (publicité, analytics tiers, réseaux sociaux, retargeting) exige un consentement libre, spécifique, éclairé et univoque.

Le bouton « Refuser tout » doit être aussi visible que « Accepter tout », le scroll ne vaut pas consentement, et la preuve doit être conservée pendant au moins 6 mois (13 mois recommandés). Les amendes CNIL pour bandeaux non conformes vont de 100 000 € pour les PME à 150 M€ pour Google et 60 M€ pour Facebook en décembre 2021.

Faut-il nommer un DPO (Délégué à la Protection des Données) pour un e-commerce ?

La désignation est obligatoire dans trois cas définis à l'article 37 RGPD : autorité ou organisme public, traitement à grande échelle de données sensibles, ou suivi régulier et systématique des personnes à grande échelle (profilage publicitaire massif, programme de fidélité avec scoring comportemental).

Pour la plupart des e-commerçants français de taille moyenne (moins de 250 000 commandes par an, pas de profilage publicitaire massif), le DPO n'est pas légalement obligatoire mais reste vivement recommandé par la CNIL. La CNIL accepte le DPO externe mutualisé, particulièrement adapté aux PME, à partir de 290 €/mois chez les cabinets spécialisés.

Qu'est-ce que le registre des traitements et comment le tenir ?

Le registre des activités de traitement (article 30 RGPD) est obligatoire pour toute entreprise de plus de 250 salariés et pour celles dont les traitements ne sont pas occasionnels ou portent sur des données sensibles. En pratique, tout e-commerçant français doit le tenir car la collecte continue de données clients sort de la dispense.

Il liste pour chaque traitement : la finalité (gestion des commandes, marketing, fidélité, recrutement), les catégories de données, les destinataires, les durées de conservation et les mesures de sécurité. La CNIL fournit un modèle gratuit en format Excel téléchargeable sur cnil.fr. Zunapro propose une version dynamique pré-remplie pour les 28 traitements typiques d'un e-commerce français.

Combien de temps conserver les données clients d'un e-commerce ?

Les durées CNIL de référence pour un e-commerce français :

Compte client actif pendant toute la relation contractuelle, puis archivage intermédiaire 3 ans après la dernière commande ou le dernier contact ; données de facturation 10 ans (obligation comptable du Code de commerce, article L. 123-22) ; prospects sans achat 3 ans après dernier contact ; données bancaires (numéro de CB) supprimées immédiatement après transaction sauf consentement explicite pour les paiements récurrents ; cookies 13 mois maximum recommandés par la CNIL. Le dépassement de ces durées sans justification expose à une sanction CNIL.

Quelles mentions légales et politique de confidentialité afficher ?

Quatre documents sont obligatoires sur un e-commerce français : mentions légales (LCEN 2004), conditions générales de vente (CGV obligatoires depuis 1996), politique de confidentialité conforme aux articles 13 et 14 du RGPD, et politique cookies détaillant les finalités.

La politique de confidentialité doit lister : identité du responsable, finalités, base légale, destinataires, durées de conservation, droits des personnes, coordonnées du DPO le cas échéant, droit de réclamation auprès de la CNIL, transferts hors UE et garanties. L'absence ou l'imprécision de ces mentions constituent un manquement à l'article 13 RGPD, fréquemment sanctionné.

Comment gérer une violation de données (data breach) en 72 heures ?

L'article 33 RGPD impose la notification à la CNIL dans les 72 heures de la prise de connaissance, sauf si la violation n'est pas susceptible d'engendrer un risque pour les personnes. Le formulaire de notification se trouve sur cnil.fr/notifier-une-violation.

Si le risque est élevé, l'article 34 impose en plus une information directe aux personnes concernées. La CNIL a reçu plus de 5 600 notifications en 2024, dont 60 % liées à des piratages. Tenir un registre interne des violations (article 33.5) même non notifiées est obligatoire et fréquemment contrôlé.

Les sous-traitants doivent-ils signer un contrat RGPD (DPA) ?

Oui, c'est l'article 28 du RGPD. Tout prestataire qui traite des données pour le compte de l'e-commerçant (AWS, OVHcloud, Mailchimp, Brevo, Chronopost, Klaviyo, Shopify, Stripe, Zendesk, Trustpilot) doit signer un Data Processing Agreement (DPA).

Le DPA précise la nature, la durée, les finalités, les types de données, les mesures de sécurité (article 32), les sous-traitants ultérieurs et les modalités de restitution ou suppression en fin de contrat. L'absence de DPA est un manquement direct et fréquemment sanctionné lors des contrôles CNIL. La plupart des grands prestataires publient un DPA standard prêt à signer en ligne ; pour les petits prestataires, utilisez le modèle CNIL.

Puis-je transférer des données vers les États-Unis ou la Turquie ?

Vers les États-Unis : oui depuis juillet 2023 grâce au Data Privacy Framework (DPF) si le destinataire est certifié sur dataprivacyframework.gov. Avant tout transfert, vérifiez la certification active du destinataire. Hors entreprises certifiées DPF, les CCT 2021 + TIA restent nécessaires.

Vers la Turquie et les pays non adéquats : transfert possible uniquement avec garanties appropriées — clauses contractuelles types (CCT) de la Commission européenne version 2021, règles d'entreprise contraignantes (BCR), ou dérogations exceptionnelles. Une analyse d'impact des transferts (Transfer Impact Assessment) est désormais attendue après l'arrêt Schrems II du 16 juillet 2020.

Quels sont les droits des personnes (clients) à respecter ?

Sept droits issus du RGPD : accès (article 15), rectification (16), effacement / droit à l'oubli (17), limitation (18), portabilité (20), opposition (21) et droit de ne pas faire l'objet d'une décision automatisée (22).

L'e-commerçant doit répondre dans un délai d'un mois (prolongeable de deux mois pour les demandes complexes, avec information de la personne dans le mois), gratuitement sauf abus manifeste, après vérification raisonnable de l'identité. Une procédure interne documentée et un canal dédié (email DPO ou formulaire) sont attendus par la CNIL. C'est le premier motif de plainte CNIL avec 14 137 plaintes en 2024.

L'analyse d'impact (AIPD) est-elle obligatoire pour mon e-shop ?

L'AIPD est obligatoire pour les traitements susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes (article 35 RGPD). La CNIL publie une liste (délibération n° 2018-327) : profilage publicitaire massif, scoring crédit, vidéosurveillance, traitement de données sensibles à grande échelle, suivi systématique des employés.

Un e-commerce classique sans profilage avancé n'a généralement pas besoin d'AIPD pour ses traitements courants (commande, livraison, comptabilité), mais en a besoin pour les programmes de fidélité avec scoring comportemental, les systèmes de recommandation IA et la vidéosurveillance d'entrepôt. La CNIL met à disposition un logiciel PIA gratuit et open source.

Comment Zunapro aide-t-il à la conformité RGPD pour les e-commerçants ?

Zunapro intègre un module RGPD natif pour les e-commerçants français :

Registre des traitements pré-rempli pour les flux e-commerce typiques, gestion centralisée du consentement cookies (CMP intégrée conforme aux lignes directrices CNIL 2020 et TCF 2.2), DPA automatiquement signé avec nos sous-traitants ultérieurs, journalisation des accès et exports pour les droits des personnes, workflow de notification de violation en 72 heures, et chiffrement AES-256 des données au repos. Hébergement français certifié ISO 27001 et HDS pour les e-commerçants santé / bien-être / parapharmacie.

Sécurisez votre conformité RGPD — préparez votre prochain contrôle CNIL

Registre des traitements · CMP cookies CNIL-conforme · Bibliothèque de DPA · Workflow droits des personnes · Plan de réponse aux violations 72 h · Hébergement français ISO 27001. Démarrage en 10 minutes, sans démo préalable.

🛡️ Démarrer ma conformité RGPD →

Besoin d'aide ?

Service associé: E-Commerce

E-Commerce →Consultation gratuite

← Retour au blog

RGPD pour l'E-Commerce en France 2026 : Conformité CNIL, Consentement Cookies et Obligations de Protection des Données